คอสแซคได้รับใบรับรอง GICSP อย่างไร

สวัสดีทุกคน! พอร์ทัลโปรดของทุกคนมีบทความต่างๆ มากมายเกี่ยวกับการรับรองด้านความปลอดภัยของข้อมูล ดังนั้นฉันจะไม่อ้างว่าเนื้อหามีความสร้างสรรค์และเป็นเอกลักษณ์ แต่ฉันยังคงอยากจะแบ่งปันประสบการณ์ในการได้รับ GIAC (Global Information Assurance Company) การรับรองในด้านความปลอดภัยทางไซเบอร์ทางอุตสาหกรรม เนื่องจากการปรากฏตัวของคำพูดที่น่ากลัวเช่น Stuxnet, นายกเทศมนตรี, Shamoon, Triton ซึ่งเป็นตลาดสำหรับการให้บริการของผู้เชี่ยวชาญที่ดูเหมือนจะเป็นไอที แต่ยังสามารถโหลด PLC มากเกินไปด้วยการเขียนการกำหนดค่าบนบันไดใหม่ และในเวลาเดียวกันโรงงานก็ไม่สามารถหยุดได้ก็เริ่มก่อตัว

นี่คือวิธีที่แนวคิดของ IT&OT (เทคโนโลยีสารสนเทศและเทคโนโลยีการดำเนินงาน) เข้ามาสู่โลก

ต่อไปทันที (เห็นได้ชัดว่าไม่ควรอนุญาตให้บุคลากรที่ไม่มีคุณสมบัติทำงาน) จำเป็นต้องรับรองผู้เชี่ยวชาญในสาขาที่เกี่ยวข้องกับการรับรองความปลอดภัยของระบบควบคุมกระบวนการและระบบอุตสาหกรรมซึ่งปรากฎว่ามีจำนวนมาก ในชีวิตของเราตั้งแต่วาล์วจ่ายน้ำอัตโนมัติในอพาร์ตเมนต์ไปจนถึงเครื่องบินระบบควบคุม (จำบทความดีๆ เกี่ยวกับการตรวจสอบปัญหา) โบอิ้ง). และถึงแม้ทันใดนั้นอุปกรณ์ทางการแพทย์ที่ซับซ้อนก็ปรากฏออกมา

เนื้อเพลงสั้น ๆ เกี่ยวกับความต้องการขอรับใบรับรอง (คุณสามารถข้ามได้): หลังจากสำเร็จการศึกษาที่คณะความมั่นคงสารสนเทศเมื่อปลายทศวรรษ XNUMX ฉันก็ก้าวเข้าสู่ตำแหน่งแกะเครื่องมือวัดด้วยหัวของฉัน ดำรงตำแหน่งสูง ทำงานเป็นช่างเครื่องให้กับระบบสัญญาณกันขโมยกระแสต่ำ ดูเหมือนว่ามีการบอกความปลอดภัยของข้อมูลให้ฉันที่องค์กรในเวลานั้น :) นี่คือจุดเริ่มต้นของอาชีพของฉันในฐานะผู้เชี่ยวชาญด้านระบบควบคุมอัตโนมัติในระดับปริญญาตรีด้านความปลอดภัยข้อมูล หกปีต่อมา เมื่อขึ้นสู่ตำแหน่งหัวหน้าแผนกระบบ SCADA ฉันจึงลาออกไปทำงานเป็นที่ปรึกษาด้านความปลอดภัยสำหรับระบบควบคุมอุตสาหกรรมในบริษัทต่างประเทศที่จำหน่ายซอฟต์แวร์และอุปกรณ์ นี่คือจุดที่ความต้องการในการเป็นผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่ได้รับการรับรองเกิดขึ้น

จีไอเอซี คือการพัฒนา SANS องค์กรที่ดำเนินการฝึกอบรมและรับรองผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล ชื่อเสียงของใบรับรอง GIAC นั้นสูงมากในหมู่ผู้เชี่ยวชาญและลูกค้าในตลาด EMEA สหรัฐอเมริกา และเอเชียแปซิฟิก ที่นี่ ในพื้นที่หลังโซเวียตและในประเทศ CIS ใบรับรองดังกล่าวสามารถขอได้โดยบริษัทต่างชาติที่มีธุรกิจในประเทศของเรา หน่วยงานระหว่างประเทศ และหน่วยงานที่ปรึกษาเท่านั้น โดยส่วนตัวแล้วฉันไม่เคยพบการร้องขอการรับรองดังกล่าวจากบริษัทในประเทศเลย โดยทั่วไปแล้วทุกคนจะขอ CISSP นี่เป็นความคิดเห็นส่วนตัวของฉัน และหากใครแบ่งปันประสบการณ์ในความคิดเห็น ก็น่าสนใจที่จะรู้

SANS มีพื้นที่ที่แตกต่างกันค่อนข้างมาก (ในความคิดของฉันเมื่อเร็ว ๆ นี้คนเหล่านี้ได้ขยายจำนวนมากเกินไป) แต่ก็มีหลักสูตรภาคปฏิบัติที่น่าสนใจมากเช่นกัน ฉันชอบมันเป็นพิเศษ เน็ตวอร์ส. แต่เรื่องราวจะเกี่ยวกับอย่างแน่นอน ICS410: สิ่งจำเป็นสำหรับการรักษาความปลอดภัย ICS/SCADA และใบรับรองชื่อ: ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อุตสาหกรรมระดับโลก (GICSP).

ในบรรดาการรับรองความปลอดภัยทางไซเบอร์ทางอุตสาหกรรมทุกประเภทที่นำเสนอโดย SANS นี่เป็นการรับรองที่เป็นสากลที่สุด เนื่องจากข้อที่สองเกี่ยวข้องกับระบบ Power Grid ซึ่งทางตะวันตกได้รับความสนใจเป็นพิเศษและอยู่ในระบบที่แยกจากกัน และรายการที่สาม (ณ เวลาในเส้นทางการรับรองของฉัน) ที่เกี่ยวข้องกับการตอบสนองต่อเหตุการณ์
หลักสูตรนี้ไม่แพง แต่ให้ความรู้กว้างขวางเกี่ยวกับ IT&OT มันจะมีประโยชน์อย่างยิ่งสำหรับสหายที่ตัดสินใจเปลี่ยนสาขาเช่นจากความปลอดภัยด้านไอทีในอุตสาหกรรมการธนาคารไปจนถึงความปลอดภัยทางไซเบอร์ทางอุตสาหกรรม เนื่องจากฉันมีพื้นฐานในด้านระบบควบคุมกระบวนการ เครื่องมือวัด และเทคโนโลยีการดำเนินงานอยู่แล้ว จึงไม่มีอะไรใหม่ที่เป็นพื้นฐานหรือสำคัญอย่างยิ่งสำหรับฉันในหลักสูตรนี้

หลักสูตรประกอบด้วยภาคทฤษฎี 50% และภาคปฏิบัติ 50% จากการฝึกฝน การแข่งขันที่น่าสนใจที่สุดคือ NetWars เป็นเวลาสองวันหลังจากชั้นเรียนหลัก นักเรียนทุกคนในทุกชั้นเรียนจะถูกแบ่งออกเป็นทีมและทำงานเพื่อรับสิทธิ์การเข้าถึง ดึงข้อมูลที่จำเป็น เข้าถึงเครือข่าย งานมากมายเพื่อส่งเสริมแฮช ทำงานร่วมกับ Wireshark และสินค้าอื่นๆ มากมาย

เนื้อหาหลักสูตรสรุปไว้ในรูปแบบหนังสือซึ่งคุณจะได้รับเพื่อใช้ตลอดไป อย่างไรก็ตามคุณสามารถสอบได้เนื่องจากรูปแบบเป็น Open Book แต่จะช่วยคุณได้ไม่มากเนื่องจากการสอบมี 3 ชั่วโมง 115 คำถามและภาษาที่ใช้ในการจัดส่งเป็นภาษาอังกฤษ ตลอด 3 ชั่วโมง คุณสามารถพักได้ 15 นาที แต่โปรดจำไว้ว่าการหยุดพักเป็นเวลา 15 นาทีและกลับมาที่การทดสอบอีกครั้งหลังจาก 5 โมงเย็น คุณจะสละเวลาที่เหลืออีกสิบนาที เนื่องจากคุณจะไม่สามารถหยุดเวลาในโปรแกรมการทดสอบได้อีกต่อไป คุณสามารถข้ามคำถามได้ถึง 15 ข้อ ซึ่งจะปรากฏที่ตอนท้ายสุด

โดยส่วนตัวแล้วผมไม่แนะนำให้ทิ้งคำถามไว้มากมายทีหลัง เพราะ 3 ชั่วโมงนั้นไม่เพียงพอจริงๆ และเมื่อท้ายที่สุดคุณมีคำถามที่ยังไม่ได้รับการแก้ไขก็มีความเป็นไปได้สูงที่จะทำไม่ได้ ทันเวลา หลังจากนั้นฉันเหลือเพียงคำถามสามข้อที่ยากสำหรับฉันมาก เนื่องจากคำถามเหล่านั้นเกี่ยวข้องกับความรู้เกี่ยวกับมาตรฐาน NIST 800.82 และ NERC ในทางจิตวิทยาคำถามดังกล่าว "ไว้ใช้ทีหลัง" ทำให้คุณกังวลในตอนท้าย - เมื่อสมองของคุณเหนื่อยล้าคุณต้องการไปเข้าห้องน้ำตัวจับเวลาบนหน้าจอดูเหมือนจะเร็วขึ้นแบบทวีคูณ

โดยทั่วไปแล้ว คุณต้องได้คะแนนคำตอบที่ถูกต้อง 71% จึงจะผ่านการทดสอบ ก่อนสอบจะมีโอกาสได้ฝึกทำข้อสอบจริง - โดยราคานี้รวมข้อสอบแบบฝึกหัด 2 ข้อ จำนวน 115 ข้อ และมีเงื่อนไขใกล้เคียงกับข้อสอบจริง

ฉันแนะนำให้ทำการสอบหนึ่งเดือนหลังจากเสร็จสิ้นการฝึกอบรม ใช้เวลาเดือนนี้ในการศึกษาด้วยตนเองอย่างเป็นระบบในประเด็นที่คุณรู้สึกไม่แน่ใจ คงจะดีถ้าคุณนำสื่อสิ่งพิมพ์ที่ได้รับระหว่างหลักสูตรซึ่งดูเหมือนบทคัดย่อสั้น ๆ ในแต่ละหัวข้อและค้นหาข้อมูลเกี่ยวกับหัวข้อที่มีอยู่ในหนังสือเหล่านี้อย่างตั้งใจ แบ่งเดือนออกเป็นสองส่วน ฝึกทำแบบทดสอบ และดูภาพคร่าวๆ ว่าคุณมีความเข้มแข็งด้านใดและจุดใดที่คุณต้องปรับปรุง

ฉันอยากจะเน้นประเด็นหลักๆ ต่อไปนี้ที่ประกอบเป็นข้อสอบ (ไม่ใช่หลักสูตรการฝึกอบรม เนื่องจากครอบคลุมหัวข้อที่กว้างขวางกว่ามาก):

1. ความปลอดภัยทางกายภาพ: เช่นเดียวกับการสอบรับรองอื่นๆ ปัญหานี้ได้รับความสนใจอย่างมากใน GICSP มีคำถามเกี่ยวกับประเภทของการล็อคประตูทางกายภาพ มีการอธิบายสถานการณ์ที่มีการปลอมบัตรผ่านอิเล็กทรอนิกส์ ซึ่งคุณต้องให้คำตอบเพื่อระบุปัญหาอย่างชัดเจน มีคำถามที่เกี่ยวข้องโดยตรงกับความปลอดภัยของเทคโนโลยี (กระบวนการ) ขึ้นอยู่กับสาขาวิชา เช่น กระบวนการน้ำมันและก๊าซ โรงไฟฟ้านิวเคลียร์ หรือโครงข่ายไฟฟ้า ตัวอย่างเช่น อาจมีคำถามเช่น: พิจารณาว่าสถานการณ์การควบคุมความปลอดภัยทางกายภาพประเภทใดเมื่อมีสัญญาณเตือนมาจากเซ็นเซอร์อุณหภูมิไอน้ำบน HMI หรือคำถามเช่น: สถานการณ์ (เหตุการณ์) ใดที่จะทำหน้าที่เป็นเหตุผลในการวิเคราะห์การบันทึกวิดีโอจากกล้องวงจรปิดของระบบรักษาความปลอดภัยปริมณฑลของสถานที่?

   ในแง่เปอร์เซ็นต์ ฉันจะทราบว่าจำนวนคำถามในส่วนนี้ในการสอบและแบบทดสอบฝึกหัดของฉันไม่เกิน 5%

2. คำถามอีกประเภทหนึ่งที่แพร่หลายมากที่สุดคือคำถามเกี่ยวกับระบบควบคุมกระบวนการ, PLC, SCADA: ในที่นี้ จำเป็นต้องเข้าถึงการศึกษาวัสดุอย่างเป็นระบบเกี่ยวกับวิธีการจัดโครงสร้างระบบควบคุมกระบวนการ ตั้งแต่เซ็นเซอร์ไปจนถึงเซิร์ฟเวอร์ที่มีแอพพลิเคชั่นซอฟต์แวร์เอง วิ่ง จะพบคำถามจำนวนเพียงพอเกี่ยวกับประเภทของโปรโตคอลการถ่ายโอนข้อมูลทางอุตสาหกรรม (ModBus, RTU, Profibus, HART ฯลฯ) จะมีคำถามว่า RTU แตกต่างจาก PLC อย่างไร วิธีปกป้องข้อมูลใน PLC จากการดัดแปลงโดยผู้โจมตี พื้นที่หน่วยความจำที่ PLC เก็บข้อมูล และตำแหน่งที่ตรรกะนั้นถูกจัดเก็บ (โปรแกรมที่เขียนโดยโปรแกรมเมอร์ระบบควบคุมกระบวนการ ). ตัวอย่างเช่น อาจมีคำถามประเภทนี้: ให้คำตอบว่าคุณจะตรวจจับการโจมตีระหว่าง PLC และ HMI ที่ทำงานโดยใช้โปรโตคอล ModBus ได้อย่างไร

   จะมีคำถามเกี่ยวกับความแตกต่างระหว่างระบบ SCADA และ DCS คำถามจำนวนมากเกี่ยวกับกฎสำหรับการแยกเครือข่ายการควบคุมกระบวนการอัตโนมัติที่ระดับ L1, L2 จากระดับ L3 (ฉันจะอธิบายรายละเอียดเพิ่มเติมในส่วนที่มีคำถามเกี่ยวกับเครือข่าย) คำถามตามสถานการณ์ในหัวข้อนี้จะมีความหลากหลายมากเช่นกัน โดยจะอธิบายสถานการณ์ในห้องควบคุม และคุณต้องเลือกการดำเนินการที่ผู้ดำเนินการกระบวนการหรือผู้มอบหมายงานจะต้องดำเนินการ

   โดยทั่วไปส่วนนี้จะเป็นส่วนที่เฉพาะเจาะจงและแคบที่สุด ต้องการให้คุณมีความรู้ที่ดี:
   — ระบบควบคุมอัตโนมัติ, ส่วนภาคสนาม (เซ็นเซอร์, ประเภทของการเชื่อมต่ออุปกรณ์, คุณสมบัติทางกายภาพของเซ็นเซอร์, PLC, RTU)
   — ระบบปิดฉุกเฉิน (ESD – ระบบปิดฉุกเฉิน) ของกระบวนการและวัตถุ (โดยวิธีการนี้มีบทความที่ยอดเยี่ยมหลายชุดในหัวข้อนี้เกี่ยวกับHabréจาก Vladimir_Sklyar)
   — ความเข้าใจพื้นฐานเกี่ยวกับกระบวนการทางกายภาพที่เกิดขึ้น เช่น ในการกลั่นน้ำมัน การผลิตไฟฟ้า ท่อ ฯลฯ
   — ความเข้าใจเกี่ยวกับสถาปัตยกรรมของระบบ DCS และ SCADA
   ฉันสังเกตว่าคำถามประเภทนี้สามารถเกิดขึ้นได้ถึง 25% ตลอดทั้ง 115 คำถามของการสอบ

3. เทคโนโลยีเครือข่ายและความปลอดภัยของเครือข่าย: ฉันคิดว่าจำนวนคำถามในหัวข้อนี้มาเป็นอันดับแรกในการสอบ อาจมีทุกอย่างอย่างแน่นอน - โมเดล OSI, ในระดับใดที่โปรโตคอลนี้ทำงาน, คำถามมากมายเกี่ยวกับการแบ่งส่วนเครือข่าย, คำถามเกี่ยวกับสถานการณ์เกี่ยวกับการโจมตีเครือข่าย, ตัวอย่างของบันทึกการเชื่อมต่อพร้อมข้อเสนอเพื่อกำหนดประเภทของการโจมตี, ตัวอย่างของการกำหนดค่าสวิตช์ พร้อมข้อเสนอเพื่อกำหนดการกำหนดค่าที่มีช่องโหว่ คำถามเกี่ยวกับโปรโตคอลเครือข่ายที่มีช่องโหว่ คำถามเกี่ยวกับลักษณะเฉพาะของการเชื่อมต่อเครือข่ายของโปรโตคอลการสื่อสารทางอุตสาหกรรม โดยเฉพาะผู้คนมักถามถึง ModBus เป็นอย่างมาก โครงสร้างของแพ็กเก็ตเครือข่ายของ ModBus เดียวกัน ขึ้นอยู่กับประเภทและเวอร์ชันที่อุปกรณ์รองรับ มีการให้ความสนใจอย่างมากต่อการโจมตีเครือข่ายไร้สาย - ZigBee, Wireless HART และเพียงแค่คำถามเกี่ยวกับความปลอดภัยของเครือข่ายของตระกูล 802.1x ทั้งหมด จะมีคำถามเกี่ยวกับกฎสำหรับการวางเซิร์ฟเวอร์บางตัวในเครือข่ายระบบควบคุมกระบวนการ (ที่นี่คุณต้องอ่านมาตรฐาน IEC-62443 และทำความเข้าใจหลักการของโมเดลอ้างอิงของเครือข่ายระบบควบคุมกระบวนการ) จะมีคำถามเกี่ยวกับโมเดล Purdue
4. หมวดหมู่ของปัญหาที่เกี่ยวข้องเฉพาะกับคุณสมบัติการทำงานของการทำงานของระบบส่งไฟฟ้าและระบบรักษาความปลอดภัยข้อมูลสำหรับพวกเขา ในสหรัฐอเมริกา ระบบควบคุมกระบวนการอัตโนมัติประเภทนี้เรียกว่า Power Grid และได้รับมอบหมายบทบาทแยกต่างหาก เพื่อจุดประสงค์นี้ จึงมีการออกมาตรฐานแยกต่างหาก (NIST 800.82) ซึ่งควบคุมแนวทางการสร้างระบบความปลอดภัยของข้อมูลสำหรับภาคส่วนนี้ ในประเทศของเรา โดยส่วนใหญ่ ภาคส่วนนี้จำกัดอยู่เพียงระบบ ASKUE (โปรดแก้ไขฉันด้วยหากมีใครเห็นแนวทางที่จริงจังกว่านี้ในการตรวจสอบระบบการจำหน่ายและจัดส่งไฟฟ้า) ดังนั้นในการสอบคุณจะพบคำถามที่เฉพาะเจาะจงเกี่ยวกับ Power Grid โดยส่วนใหญ่แล้วสิ่งเหล่านี้เป็นกรณีการใช้งานสำหรับสถานการณ์เฉพาะที่พัฒนาขึ้นที่โรงไฟฟ้า แต่อาจมีการสำรวจเกี่ยวกับอุปกรณ์ที่ใช้โดยเฉพาะใน Power Grid จะมีคำถามเกี่ยวกับความรู้ในส่วน NIST สำหรับระบบประเภทนี้
5. คำถามที่เกี่ยวข้องกับความรู้เกี่ยวกับมาตรฐาน: NIST 800-82, NERC, IEC62443 ฉันคิดว่าที่นี่ไม่มีความคิดเห็นพิเศษใด ๆ - คุณต้องสำรวจส่วนต่าง ๆ ของมาตรฐานซึ่งมีหน้าที่รับผิดชอบในสิ่งที่มีคำแนะนำ มีคำถามเฉพาะ เช่น ถามความถี่ในการตรวจสอบการทำงานของระบบ ความถี่ในการอัปเดตขั้นตอน เป็นต้น เปอร์เซ็นต์ของคำถามดังกล่าวสามารถพบได้มากถึง 15% ของจำนวนคำถามทั้งหมด แต่มันก็ขึ้นอยู่กับ ตัวอย่างเช่น ในการทดสอบฝึกหัดสองครั้ง ฉันพบคำถามที่คล้ายกันสองสามข้อเท่านั้น แต่ช่วงสอบก็เยอะจริงๆ
6. คำถามประเภทสุดท้ายคือคำถามเกี่ยวกับกรณีการใช้งานและสถานการณ์ทุกประเภท

โดยทั่วไปแล้ว การฝึกอบรมนั้นไม่ได้ให้ข้อมูลมากนักสำหรับฉันในแง่ของการได้รับความรู้ใหม่ที่อาจเป็นไปได้ ยกเว้น CTF NetWars ที่เป็นไปได้ แต่ได้รับรายละเอียดเชิงลึกของบางหัวข้อโดยเฉพาะอย่างยิ่งในด้านการจัดองค์กรและการปกป้องเครือข่ายวิทยุที่ใช้ในการส่งข้อมูลทางเทคโนโลยีตลอดจนเนื้อหาที่จัดระเบียบมากขึ้นเกี่ยวกับโครงสร้างของมาตรฐานต่างประเทศที่อุทิศให้กับหัวข้อนี้ ดังนั้น สำหรับวิศวกรและผู้เชี่ยวชาญที่มีความรู้และประสบการณ์เพียงพอในการทำงานกับระบบควบคุมกระบวนการ/ระบบเครื่องมือ หรือเครือข่ายอุตสาหกรรม คุณสามารถคิดถึงการประหยัดค่าฝึกอบรม (และการประหยัดก็สมเหตุสมผล) เตรียมตัวให้พร้อมและตรงไปสอบเพื่อรับใบรับรองซึ่ง ยังไงก็ตาม มันมีมูลค่า 700USD ในกรณีที่ล้มเหลวคุณจะต้องจ่ายเงินอีกครั้ง มีศูนย์รับรองมากมายที่จะรับคุณเข้าสอบ สิ่งสำคัญคือต้องสมัครล่วงหน้า โดยทั่วไป ฉันแนะนำให้ตั้งวันสอบทันที เพราะไม่เช่นนั้นคุณจะเลื่อนออกไปอยู่เรื่อยๆ โดยแทนที่กระบวนการเตรียมการด้วยเรื่องอื่นๆ ที่สำคัญและไม่สำคัญทั้งหมด และการมีกำหนดเวลาที่แน่นอนจะทำให้คุณมีแรงบันดาลใจในตัวเอง

ที่มา: will.com